Yönlendiriciden paket koklama

Bu yüzden TP-Link yönlendiricim var ve yönlendiriciden geçen tüm paketleri koklamak istiyorum. Şu anda Wireshark kullanıyorum ancak yönlendiricimden geçen paketleri alamıyorum.

Peki şimdiye kadar ne denedim:

1) Dizüstü bilgisayarımda sıcak nokta oluşturursam ve dizüstü bilgisayarımın sıcak alanında diğer aygıtları bağlarsam bilgisayarımdan geçen paketleri görebilirim. Ama ihtiyacım olan tek şey bu değil.

2) Bir LAN kablosu, bir ucunu PC portuma ve diğer ucunu yönlendiricinin LAN portuna bağlı bir tane satın aldım. Kablo trafiğinde LAN Traffic'i seçtim, ancak yönlendiriciden geçen paketlere hala erişemiyorum.

3) Tüm web sitelerini kendi ağımda https yerine http üzerinde çalışmaya zorlayabilir miyim?

Bunu yapmanın başka bir yolu var mı ?

Teşekkür ederim!

— JohnMD
kaynak

Yönlendiriciden giren ve çıkan TÜM trafiği görmek için Yönlendirici ile ISP demarc arasındaki hatta bir dokunma aygıtına ihtiyacınız olacaktır. Şifreleme konusunda, hayır, HTTP kullanmak için HTTPS kullanmanızı isteyen bir web sitesini zorlayamazsınız. Web sunucusu, belirli bağlantı noktalarına ekli protokol işleyicilere sahiptir ve yalnızca bir HTTP sunucusu tüm işlerini 80 olmayan bir bağlantı noktasında yapar. Bu, saçma sapan ve başarısız olacağın anlamına gelir. Yapmayı umabileceğiniz en iyi şey, kullanılan sertifikayı şeffaf bir şekilde takas etmek için bir aygıtı satır içi koymaktır, böylece trafiğin şifresini çözebilirsiniz.

— Frank Thomas

Yanıtlar:

Unutmayın: Bugünlerde her şeyin birden fazla limanda bir anahtarı var. Böylece, trafiği bilgisayarınıza yalnızca DNS zehirlenmesi veya ARP sahtekarlığıyla yeniden yönlendirme şansınız olur.

Hayır, web sitelerini yalnızca HTTP kullanmaya zorlayamazsınız. Her şeyden önce, bu günkü büyük siteler HTTPS'ye yönlendirmek dışında HTTP üzerinden hiçbir hizmet sunmuyor. İkincisi, HSTS başlığı, tarayıcıların kendilerine HTTP üzerinden erişmelerini engeller ve yalnızca HTTPS-yalnızca bayrağının ilk erişimde ayarlandığından, muhtemelen Google, Facebook, Twitter vb. İçin her makineye önceden ayarlanmıştır. mitmproksi gibi çözümler kullanıyor.

O kadar ileriye gitmek isteyip istemediğinizi bilmiyorum, ancak çoğu zaman TP-Linkler üzerindeki fabrika üretici yazılımını OpenWRT ile değiştirdim (şu anda Internet'e böyle bir yenilenmiş OpenWRT @ TL-WDR3600 aracılığıyla erişiyorum). Orada tcpdump paketi var, bu yüzden görev oldukça basit - tcpdump -w ile bir dosya yazın, sonra bu dosyayı scp ile yönlendiriciden alın ve PC'deki Wireshark ile analiz edin.

Sonuçta, OpenWRT çok zengin özelliklere sahip, bu nedenle garanti kaybı bile benim için önemli değil. DD-WRT'yi de denedim ve hayır, OpenWRT kadar iyi değil, ancak ikisi de orijinal bellenimden çok daha iyi.

— Nikita Kipriyanov
kaynak

Müthiş açıklama! Çok teşekkür ederim. Mitmproxy'nin tüm ağ üzerinde mi yoksa sadece kurulu bilgisayarlarda mı çalışacağına dair bir şüphem var?

— JohnMD

Tüm HTTP (S) trafiğini mitmproxy'nize yönlendirmek için yönlendirici kurmayı başarırsanız, tüm ağ için çalışır. Tek başıma denemedim ama OpenWRT ile bile mümkün olması gerektiği gibi görünüyor.

— Nikita Kipriyanov

Tamam teşekkürler! Mitmproksi kullanarak https trafiğini nasıl okuyacağım. Birisi https'ta veri gönderirse demek istiyorum?

— JohnMD

Uygun bir mitmproksi kurulumuna sahip olmak, evet. Ancak, bu, özel bir MitM CA oluşturmanızı ve ağdaki her bilgisayara güvenmenizi sağlar. Bu dokümantasyonda ele alınmaktadır, sadece dikkatlice okumanız ve uygulamanız gerekir.

— Nikita Kipriyanov

Teşekkürler! İstemci tarafında sertifika oluşturmak istemesem bile, HTTPS bağlantısını mitmproksi ile koklamak mümkün mü? Çünkü kurbanın cihazına erişimim yok.

— JohnMD

Yönlendiricinizi, bilgisayarınıza bağladığınız bağlantı noktasına yönlendiren tüm trafiği yansıtacak şekilde ayarlamanız gerekir (yönlendiriciniz destekliyorsa).

Alternatif olarak, trafiği bilgisayarınızdan geçmeye zorlamak için ARP sahtekarlığıyla MIM saldırısını deneyebilirsiniz (bunu yalnızca kendi ağınızda yapın).

Bazı siteler yalnızca https bağlantılarına izin verir. Http trafiğini izlemek için ağınızda proxy kurabilirsiniz.

— Sim
kaynak

Tamam! Hızlı yanıt için teşekkürler. İkinci soruda, şu anda yönlendiriciye LAN kablosu ile bağlı olduğumu sordum. Neden hala paketlere erişemiyorum?

— JohnMD

Yönlendiriciniz yerel olarak hub değil, bir anahtar (bağlantı noktası yalıtımı) olarak çalışıyor.

— Sim

@JohnMD Yönlendiriciye yerleşik bir anahtarla bağlanırsınız . Bu, yalnızca bilgisayarınız için tasarlanan trafik sorunlarının bilgisayarınıza gittiği anlamına gelir. Eğer bilgisayarınız anahtarına bağlı tek kişiydi, daha sonra da tüm trafiği görecekti. Öyle değil, öyle değil. Wireshark / WinPcap bununla ilgilenmezse Ethernet kartınızı Promiscuous moduna ayarlamanız gerekebilir .

— Andrew Morton,